次の方法で共有


MBAM 2.5 SP1 の概要

Microsoft BitLocker 管理および監視 (MBAM) 2.5 SP1 には、BitLocker ドライブ暗号化用の簡略化された管理インターフェイスが用意されています。 BitLocker は、失われたり盗まれたりしたコンピューターのデータの盗難やデータの漏えいに対する保護を強化します。 BitLocker は、Windows オペレーティング システムとドライブと構成されたデータ ドライブに格納されているすべてのデータを暗号化します。

MBAM の概要

MBAM 2.5 SP1 には、次の機能があります。

  • 管理者は、企業全体のクライアント コンピューター上のボリュームを暗号化するプロセスを自動化できます。

  • セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。

  • Microsoft System Center Configuration Manager により、一元的なレポートおよびハードウェア管理を行うことができます。

  • ヘルプ デスクのワークロードを減らし、エンド ユーザーが BitLocker PIN と回復キーの要求を支援できるようにします。

  • エンド ユーザーは、セルフ サービス ポータルを使って、暗号化されたデバイスを自分で回復できます。

  • セキュリティ責任者は、キー情報を回復するためのアクセスを簡単に監査できます。

  • 企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。

MBAM は、企業に対して設定した BitLocker 暗号化ポリシー オプションを適用し、それらのポリシーを使用してクライアント コンピューターのコンプライアンスを監視し、企業と個人のコンピューターの暗号化状態に関するレポートを行います。 さらに、MBAM を使用すると、ユーザーが PIN またはパスワードを忘れた場合、または BIOS またはブート レコードが変更されたときに回復キー情報にアクセスできます。

次のグループは、MBAM を使用して BitLocker を管理することに関心がある場合があります。

  • 機密データが承認なしで開示されないようにする責任を負う管理者、IT セキュリティプロフェッショナル、コンプライアンス責任者

  • リモート オフィスまたはブランチ オフィスのコンピューター セキュリティを担当する管理者

  • Windows を実行しているクライアント コンピューターを担当する管理者

BitLocker については、この MBAM ドキュメントでは詳しく説明されていません。 詳細については、「 BitLocker ドライブ暗号化の概要」を参照してください。

MBAM 2.5 SP1 の新機能

このセクションでは、MBAM 2.5 SP1 の新機能について説明します。

MBAM 2.5 SP1 クライアントで新しくサポートされる言語

Self-Service ポータルを含め、MBAM クライアントでのみ MBAM 2.5 SP1 で次の言語がサポートされるようになりました。

  • チェコ語 (チェコ共和国) cs-CZ

  • デンマーク語 (デンマーク) da-DK

  • オランダ語 (オランダ) nl-NL

  • フィンランド語 (フィンランド) fi-FI

  • ギリシャ語 (ギリシャ) el-GR

  • ハンガリー語 (ハンガリー) hu-HU

  • ノルウェー語、ボクマオール (ノルウェー) nb-NO

  • ポーランド語 (ポーランド) pl-PL

  • ポルトガル語 (ポルトガル) pt-PT

  • スロバキア語 (スロバキア) sk-SK

  • スロベニア語 (スロベニア) sl-SI

  • スウェーデン語 (スウェーデン) sv-SE

  • トルコ語 (Türkiye) tr-TR

MBAM 2.5 および MBAM 2.5 SP1 のクライアントとサーバーでサポートされているすべての言語の一覧については、「 MBAM 2.5 でサポートされている構成」を参照してください。

Windows 10 のサポート

MBAM 2.5 SP1 は、以前のバージョンの MBAM でサポートされているのと同じソフトウェアに加えて、Windows 11、Windows 10、および Windows Server 2016 のサポートを追加します。

Windows 10 は、MBAM 2.5 と MBAM 2.5 SP1 の両方でサポートされています。

Microsoft SQL Server 2014 SP1 のサポート

MBAM 2.5 SP1 は、以前のバージョンの MBAM でサポートされているのと同じソフトウェアに加えて、Microsoft SQL Server 2014 SP1 のサポートを追加します。

MBAM に個別の MSI が付属しなくなりました

MBAM 2.5 SP1 以降では、別の MSI は MBAM 製品に含まれなくなりました。 ただし、製品に含まれている実行可能ファイル (.exe) から MSI を抽出できます。

MBAM は、TPM を所有せずに OwnerAuth パスワードをエスクローできます

以前は、MBAM が TPM を所有していない場合、TPM OwnerAuth を MBAM データベースにエスクローできませんでした。 TPM を所有するように MBAM を構成し、パスワードを格納するには、TPM の自動プロビジョニングを無効にし、クライアント コンピューターで TPM をクリアする必要がありました。

Windows 8 以降では、MBAM 2.5 SP1 が TPM を所有せずに OwnerAuth パスワードをエスクローできるようになりました。 サービスの起動中に、MBAM は TPM が既に所有されているかどうかを確認し、その場合はオペレーティング システムにパスワードを要求します。 その後、パスワードは MBAM データベースにエスクローされます。 さらに、OwnerAuth がローカルで削除されないようにグループ ポリシーを設定する必要があります。

Windows 7 では、MBAM は TPM を所有して、MBAM データベース内の TPM OwnerAuth 情報を自動的にエスクローする必要があります。 MBAM が TPM を所有せず、TPM の Active Directory (AD) バックアップがグループ ポリシーを使用して構成されている場合は、 MBAM Active Directory (AD) データ インポート コマンドレット を使用して、AD から MBAM データベースに TPM OwnerAuth をコピーする必要があります。 これらは、ボリューム回復と TPM 所有者情報が Active Directory に格納された MBAM データベースを事前に入力する 5 つの新しい PowerShell コマンドレットです。

詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。

MBAM は、ロックアウト後に TPM のロックを自動的に解除できます

TPM 1.2 を実行しているコンピューターで、TPM がロックアウトされている場合に TPM のロックを自動的に解除するように MBAM を構成できるようになりました。TPM ロックアウトの自動リセット機能が有効になっている場合、MBAM はユーザーがロックアウトされていることを検出し、MBAM データベースから OwnerAuth パスワードを取得して、ユーザーの TPM のロックを自動的に解除できます。

この機能は、サーバー側とクライアント側のグループ ポリシーの両方で有効にする必要があります。 詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。

FIPS 準拠の BitLocker 数値パスワード 保護機能のサポート

MBAM 2.5 では、Windows 8.1 オペレーティング システムを実行しているデバイスで、連邦情報処理標準 (FIPS) 準拠の BitLocker 回復キーのサポートが追加されました。 ただし、Windows 7 では FIPS 準拠の回復キーが実装されていませんでした。 そのため、Windows 7 デバイスと Windows 8 デバイスでは、回復のためにデータ復旧エージェント (DRA) 保護機能が引き続き必要でした。

Windows チームは FIPS 準拠の回復キーを修正プログラムでバックポートし、MBAM 2.5 SP1 もサポートを追加しました。

Windows 8 を実行するクライアント コンピューターでは、修正プログラムがその OS にバックポートされていないため、DRA 保護機能が引き続き必要です。 Windows 7 および Windows 8 コンピューター用の BitLocker 修正プログラムをダウンロードしてインストールするには、「 BitLocker 管理および監視 2.5 用の修正プログラム パッケージ 2 」を参照してください。 DRA の詳細については、「 BitLocker でのデータ復旧エージェントの使用」を参照してください。

組織で FIPS コンプライアンスを有効にするには、連邦情報処理標準 (FIPS) グループ ポリシー設定を構成する必要があります。 構成手順については、「 BitLocker グループ ポリシー設定」を参照してください。

新しいグループ ポリシー設定を使用してプリブート回復メッセージと URL をカスタマイズする

新しいグループ ポリシー設定である [ ブート前の回復メッセージと URL の構成] を使用すると、カスタム回復メッセージを構成したり、OS ドライブがロックされているときにプレブート BitLocker 回復画面に表示される URL を指定したりできます。 この設定は、Windows 11 と Windows 10 を実行しているクライアント コンピューターでのみ使用できます。

このポリシー設定を有効にした場合は、プリブート回復メッセージに対して次のいずれかのオプションを選択できます。

  • カスタム回復メッセージを使用する: プレブート BitLocker 回復画面にカスタム メッセージを含める場合は、このオプションを選択します。

  • カスタム回復 URL を使用する: プレブート BitLocker 回復画面に表示される既定の URL を置き換えるには、このオプションを選択します。

  • 既定の回復メッセージと URL を使用する: このオプションを選択すると、プレブート BitLocker 回復画面に既定の BitLocker 回復メッセージと URL が表示されます。 以前にカスタム回復メッセージまたは URL を構成し、既定のメッセージに戻す場合は、このポリシーを有効にして、このオプションを選択する必要があります。

新しいグループ ポリシー設定は、次の GPO ノードにあります: コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker Management)>Operating System Drive。 詳細については、「 MBAM 2.5 グループ ポリシー要件の計画」を参照してください。

MBAM によって、使用済み領域暗号化のサポートが追加されました

MBAM 2.5 SP1 では、BitLocker グループ ポリシーを使用した使用済み領域暗号化を有効にした場合、MBAM クライアントによって優先されます。

このグループ ポリシー設定は、 オペレーティング システム ドライブにドライブ暗号化の種類を適用 すると呼ばれ、次の GPO ノードにあります: コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブの暗号化>システム ドライブの操作。 このポリシーを有効にし、暗号化の種類を [使用領域のみ暗号化] として選択した場合、MBAM はポリシーを受け入れ、BitLocker はボリュームで使用されているディスク領域のみを暗号化します。

詳細については、「 MBAM 2.5 グループ ポリシー要件の計画」を参照してください。

MBAM クライアントによる暗号化ハード ドライブのサポート

MBAM では、Opal および IEEE 1667 標準の TCG 仕様要件を満たす暗号化ハード ドライブの BitLocker がサポートされています。 これらのデバイスで BitLocker を有効にすると、キーが生成され、暗号化されたドライブで管理機能が実行されます。 詳細については、「 暗号化されたハード ドライブ 」を参照してください。

SPN を登録するときに委任構成が不要になった

アプリケーション プール アカウントに登録する SPN の制約付き委任を構成するための要件は、MBAM 2.5 SP1 では不要になりました。 ただし、MBAM 2.5 の要件は引き続きです。

Windows 展開の一部として MBAM を使用して BitLocker を有効にする

MBAM 2.5 SP1 では、PowerShell スクリプトを使用して、BitLocker ドライブの暗号化と MBAM サーバーへの回復キーのエスクローを構成できます。

詳細については、「 Windows 展開の一部として MBAM を使用して BitLocker を有効にする方法」を参照してください。

Self-Service ポータルは、PowerShell または SSP カスタマイズ ウィザードを使用してカスタマイズできます

MBAM 2.5 SP1 以降では、カスタマイズ ウィザードと PowerShell を使用して、Self-Service ポータルを構成できます。 MBAM 2.5 Web アプリケーションを構成する方法に関するページを参照してください。

Web ブラウザーが意図せずに管理者として実行されなくなりました

MBAM 2.5 の問題により、サーバー構成ツールのヘルプ リンクが原因で、管理者権限でブラウザー ウィンドウが開きます。 この問題は MBAM 2.5 SP1 で修正されています。

CDN にアクセスできないときに、Self-Service ポータルを構成するために JavaScript ファイルをダウンロードする必要がなくなりました

MBAM 2.5 以前では、Self-Service ポータルにアクセスするクライアントがインターネットにアクセスできない場合、Self-Service ポータルの構成に使用される jQuery ファイルを CDN から事前にダウンロードする必要がありました。 MBAM 2.5 SP1 では、すべての JavaScript ファイルが製品に含まれているため、ダウンロードは不要です。

レポート ビルダー 3.0 でレポートを開くことができます

MBAM 2.5 SP1 では、レポートは最新のレポート定義言語スキーマに更新され、ユーザーはレポート ビルダー 3.0 でレポートを開いてカスタマイズし、レポート ファイルを破損させずにすぐに保存できます。

新しい PowerShell コマンドレット

MBAM 2.5 SP1 用の新しい PowerShell コマンドレットを使用すると、データベース、レポート、Web アプリケーションなど、さまざまな MBAM 機能を構成および管理できます。 各機能には、機能を有効または無効にしたり、機能に関する情報を取得したりするために使用できる対応する PowerShell コマンドレットがあります。

MBAM 2.5 SP1 には、次のコマンドレットが実装されています。

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

MBAM 2.5 SP1 の Enable-MbamWebApplication コマンドレットと Test-MbamWebApplication コマンドレットには、次のパラメーターが実装されています。

  • DataMigrationAccessGroup

  • TpmAutoUnlock

コマンドレットの詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項 」および 「Microsoft BitLocker の管理と監視のコマンドレットのヘルプ」を参照してください。

MBAM エージェントがプレゼンテーション モードを検出する

MBAM エージェントは、コンピューターがプレゼンテーション モードであることを検出し、その時点での MBAM UI の呼び出しを回避できます。

遅延開始を使用するように MBAM エージェント サービスが構成されるようになりました

インストール後、サービスは遅延開始を使用するように MBAM エージェント サービスを設定し、Windows の起動にかかる時間を短縮します。

ロックされた固定データ ボリュームが準拠としてレポートされるようになりました

"ロックされた固定データ" ボリュームのコンプライアンス計算ロジックは、ボリュームを "準拠" として報告するように変更されましたが、保護機能の状態と暗号化状態が "不明" で、コンプライアンス状態の詳細が "ボリュームがロックされています" です。 以前は、ロックされたボリュームは"非準拠"、保護機能の状態が "Encrypted"、暗号化状態が "Unknown"、コンプライアンス状態の詳細が "不明なエラー" として報告されていました。

MBAM 2.5 SP1 リリース ノート

このドキュメントに含まれていない詳細と最新ニュースについては、「 MBAM 2.5 SP1 のリリース ノート」を参照してください。